云計算已經(jīng)進入落地階段,發(fā)展大家更是有目共睹�,很多企業(yè)開始考慮或是已經(jīng)擁抱云計算。云計算給中小企業(yè)帶來的福利也是多之又多����,節(jié)省開支,創(chuàng)造新的資源等等�。這些都是云計算的功勞��,只是在這些優(yōu)點之中��,大部分的人還是在擔心它存在的缺點�����,其中最受關(guān)注的就是安全問題�。對云計算中的威脅與風險進行分析�,有助于認清云計算的利弊,充分利用云計算的優(yōu)勢�,同時采取合適的措施避免損失。
安全威脅
根據(jù)IDC的調(diào)查��,安全問題一直是云計算中最受關(guān)注的方面���。國內(nèi)的報告也有類似的結(jié)論��,調(diào)查的受訪對象都有技術(shù)安全性方面的擔憂��,恰恰是這種擔憂阻礙其遷移到云計算平臺���。
事實上,有些云服務提供商會對用戶的數(shù)據(jù)進行加密,同時還會將用戶的數(shù)據(jù)進行備份�����,一段時間后才會摧毀這些數(shù)據(jù)��,所以企業(yè)在走入云端之前務必做好這方面的風險預估以及應急方案�����。
因此�,要讓企業(yè)和組織大規(guī)模應用云計算技術(shù)與平臺�����,放心地將自己的數(shù)據(jù)交付于云服務提供商管理�,就必須全面地分析,并著手解決云計算所面臨的安全問題����。
云計算管理著企業(yè)的關(guān)鍵數(shù)據(jù),企業(yè)和個人是不是會更容易成為黑客的攻擊對象呢�����?這也許不是一個常見的問題��,但不是沒有發(fā)生的可能,鑒于云計算數(shù)據(jù)安全的問題���,如醫(yī)療����、金融等數(shù)據(jù)敏感型企業(yè)都不被建議應用云技術(shù)�����。
數(shù)據(jù)威脅
數(shù)據(jù)問題對每位CIO來說都是頭等大事����。因為泄露帶來的最大噩夢就是自己公司敏感的內(nèi)部數(shù)據(jù)落入了競爭者之手,這也讓高管們寢食難安���,云計算則為這一問題增加了新的挑戰(zhàn)���。
數(shù)據(jù)丟失對于消費者和企業(yè)雙方而言,數(shù)據(jù)丟失都是非常嚴重的問題�����。而存儲在云中的數(shù)據(jù)則可能因為其他的原因而造成丟失。云服務供應商的一次刪除誤操作�,或者火災等自然因素導致的物理性損害,都可能導致用戶數(shù)據(jù)丟失���,除非供應商做了非常到位的備份工作�。
但數(shù)據(jù)丟失的責任并非總是只在供應商一方��,比如如果用戶在上傳數(shù)據(jù)之前加密不妥當��,然后自己又弄丟了密鑰��,那么也可能造成數(shù)據(jù)丟失��。
內(nèi)部操作問題
不論是在企業(yè)內(nèi)部還是云計算服務提供商內(nèi)部�����,人員的惡意操作都是非常危險的��,同樣后果也非常嚴重�����。云服務提供商肯定不會透露其雇員在物理服務器和虛擬化方面的水平���,更不會告訴你他的分析和報告政策���。
惡意的內(nèi)部人員在安全行業(yè),來自內(nèi)部惡意人員造成的威脅已經(jīng)成為一個爭議話題����。對組織存在威脅的惡意內(nèi)部人員可能是那些有進入企業(yè)組織網(wǎng)絡(luò)、系統(tǒng)����、數(shù)據(jù)庫權(quán)限的在任的或曾經(jīng)的員工,承包商���,或者其他業(yè)務伙伴�,他們?yōu)E用權(quán)限�����,導致企業(yè)組織的系統(tǒng)和數(shù)據(jù)的機密性��、完整性�����、可用性受損。
這也就意味著只要有了一定級別的授權(quán)�����,內(nèi)部人員就可以獲得機密數(shù)據(jù)并控制云服務�����,聽著就恐怖對吧���!其實,用戶是可以獲得這些操作的信息��,只要在簽訂服務級別協(xié)議的時候提出來就可以了�����。
服務中斷及攻擊問題
從這幾年的云計算服務經(jīng)驗來看���,總是有一些常見的中斷故障發(fā)生�,其中包括數(shù)據(jù)備份��、停機時間和數(shù)據(jù)中心脫機�����。慶幸的是這些云計算中斷故障是可以預見的。
解決停電故障的最好方法就是防止停電�,畢竟沒有百分百可靠的服務器。所以筆者建議企業(yè)選擇一個能夠提供眾多服務中斷解決方案的云計算服務提供商�。
除了服務中斷問題還有拒絕服務攻擊的問題。拒絕服務攻擊就是指攻擊者阻止正常用戶正常訪問云服務的一種攻擊手段��。通常是迫使一些關(guān)鍵性云服務來消耗大量的系統(tǒng)資源���,例如處理進程�、內(nèi)存����、硬盤空間、網(wǎng)絡(luò)帶寬�����,導致云服務器反應變得極為緩慢或者完全沒有響應�。
拒絕服務攻擊(DDoS)引起過許多的麻煩,并一直被媒體所關(guān)注��,他們的攻擊可能并無實質(zhì)性目的�。非對稱應用程序級別拒絕服務攻擊所瞄準的就是Web服務器����、數(shù)據(jù)庫或其他云計算資源脆弱的這一點��,然后在應用程序上運行一小段惡意程序��,有時甚至不足100個字節(jié)�。
還有一些出于搶占市場或其它目的的考慮,某些云服務提供商對登記流程管理不嚴格��,云服務較容易獲得�。不法分子能以低成本的利用云計算平臺發(fā)送大量垃圾郵件、制造或托管惡意代碼���、大規(guī)模的破解密碼、DDOS攻擊�、制造及管理僵尸網(wǎng)絡(luò)等。
調(diào)查審計問題
云計算中����,計算、存儲���、帶寬服務可在全球范圍內(nèi)跨國獲取�,而用戶提供的賬戶信息可能是偽造的,加上不同國家和地區(qū)對違法行為的取證需求不盡相同����,因此對基于云計算平臺的網(wǎng)絡(luò)犯罪行為很難進行追查。當平臺中的資源來自多個�、多層次的第三方供應商時,溯源更為困難���。
另一方面�,云計算平臺存儲有多家客戶數(shù)據(jù)�����,在調(diào)查取證過程中��,供應商不一定配合��,如果配合���,將給其它客戶的業(yè)務帶來風險���。例如,谷歌多次向美國政府提交維基解密志愿者的郵箱數(shù)據(jù)��,這意味著Gmail的用戶存在隱私被泄露的風險。再者�,在資質(zhì)審計的過程中,服務商未必提供必要的信息��,使得第三方機構(gòu)不一定能對服務商進行準確的�、客觀的評估。
審查不足降低成本����,運營效率,安全提升����,這些優(yōu)點讓人們對云計算趨之若鶩,對于那些有資源有能力來合理利用云技術(shù)的企業(yè)來說���,這確實是一個很實在的目標���,但有很多企業(yè)實際上在一擁而上的大潮里�����,并未真正的明確的了解這一技術(shù)的全貌���。
如果對云服務供應商環(huán)境����、應用程序、運營責任(如事故責任�、加密問題、安全監(jiān)控)等沒有充分的了解��,企業(yè)組織如果貿(mào)然采用云計算��,就可能面臨著認知不足的各種未知的風險�����,這恐怕比眼下的風險要更加嚴重���。
其實綜上我們可以看出與傳統(tǒng)數(shù)據(jù)中心服務相比��,云計算具有諸多優(yōu)點���,如規(guī)模化的效益�,能實現(xiàn)快速、智能的資源擴展等。但也要意識到文中分析的這幾類安全威脅與風險�����,采取適當?shù)拇胧�,揚長避短,讓更多的應用受益于云計算服務���。
